Бэкдор Turla
Turla APT (Advanced Persistent Threat) - печально известная российская хакерская группа, действующая уже более десяти лет. Их также называют Uroburos APT или Snake APT. Они известны своей любовью к жертвам высокого класса. Сообщалось, что APT Turla проникла в Федеральный колледж государственного управления Германии, а затем через него сумела скомпрометировать Федеральное министерство иностранных дел страны. Более того, это не было единовременным проникновением; Было обнаружено, что APT Turla оставался вне поля зрения властей Германии почти весь 2017 год. В течение этого времени хакерская группа перекачивала и собирала правительственные данные. Эта впечатляющая операция была проведена с помощью инструмента APT под названием Turla Backdoor.
Об атаках этой российской хакерской группы сообщили три европейские страны. Целями снова стали их загранучреждения. Можно с уверенностью предположить, что APT Turla активно участвует в шпионаже, поскольку их основными целями всегда были дипломаты, военные, государственные органы и политики. Есть подозрения, что APT Turla может быть связан с правительством России, но эта информация еще не подтверждена.
Считается, что бэкдор Turla APT возник еще в 2009 году. Тем не менее, хакерская группа не бездельничала на протяжении многих лет и внесла множество улучшений в свой бэкдор, такие как способность угрозы получать команды через файл PDF, прикрепленный к электронному письму. , который был представлен еще в 2016 году. В 2018 году в бэкдор Turla APT была добавлена новая функция - он был обновлен с возможностью выполнения команд PowerShell на зараженном хосте.
Эта последняя версия этого бэкдора оснащена возможностью проникновения в Microsoft Outlook. Интересно, что Turla APT не использует уязвимость в приложении, а вместо этого манипулирует законным MAPI (интерфейс программирования приложений обмена сообщениями) Microsoft Outlook и через него получает доступ к прямым сообщениям своих предполагаемых целей. В отличие от большинства бэкдоров, которые обычно получают команды через сервер управления и контроля злоумышленников, Turla Backdoor управляется с помощью специально созданных электронных писем благодаря усовершенствованию, которое Turla APT представила в 2016 году. Turla Backdoor может выполнять множество команд, в том числе которые собирают данные, скачивают и исполняют различные файлы. Этот бэкдор не слишком разборчив, когда дело касается места его установки - бэкдор Turla имеет форму модуля DLL (библиотеки динамической компоновки) и может запускаться из любого места на жестком диске. Кроме того, Turla APT использует служебную программу Windows (RegSvr32.exe) для установки своего бэкдора в целевой системе.
Конечно, как и любая высокоэффективная угроза такого калибра, Turla Backdoor также обладает большой настойчивостью. Чтобы свести к минимуму вероятность быть обнаруженным, Turla Backdoor не будет постоянно выполнять свои «обязанности». Вместо этого он использует хорошо известную уязвимость Windows, касающуюся модели компонентных объектов (COM). Используя эту уязвимость, бэкдор может внедрить свои экземпляры в законный процесс outlook.exe, что устраняет необходимость в использовании библиотеки DLL. инъекция - вектор атаки, который антивирусные продукты легко обнаруживают.
Проникая в Microsoft Outlook, Turla Backdoor может собирать метаданные о действиях своей жертвы по обмену сообщениями - тему электронного письма, имя вложения, отправителей и получателей. Эти данные собираются и хранятся в Turla Backdoor и периодически передаются на серверы злоумышленника. Такая угроза, как Turla Backdoor, может нанести большой ущерб, особенно если злоумышленникам удастся заразить систему, используемую для хранения конфиденциальных данных или обмена данными, и очевидно, что Turla APT нацелена именно на этих пользователей.
Помимо кражи данных, вредоносному ПО можно приказать загрузить дополнительные файлы или выполнить поврежденные сценарии PowerShell. В заключение, Turla Backdoor представляет собой угрозу, которая по своим функциям приближается к руткиту.
